Es ist ja bekanntermaßen so, dass über Active Directory die Richtlinien für Gruppen und Benutzer auf den angeschlossenen Domänen-Clients festgelegt werden können. Wenn ich nun einen solchen Client nicht innerhalb der Domäne starte, sondern als Single-Rechner bzw. in einem Peer-To-Peer-Netz, dann bleiben die über AD vorgenommenen Richtlinien trotzdem gültig, auch wenn sich die Arbeitsstation nicht an der Domäne angemeldet hat. Das heißt, die Richtlinien müssen irgendwo in der Registry des Clientrechners gespeichert sein. Mich würde nun interessieren, an welchem Ort einer Client-Registry (wird wohl irgendein Policy-Zweig sein) diese Richtlinien/Restriktionen festgelegt sind).Normalerweise kann man ja bei einem Rechner, der nicht in einer Domäne läuft, über die Gruppenrichtlinien keine individuellen Zuweisungen für Gruppen oder einzelne User vornehmen; das geht nur von einem Domain Controller aus. Aber wie erklärt sich dann die Tatsache, dass die individuellen Restriktionen auch ohne diesen DC erhalten bleiben ?
Wo werden AD-Richtlinien auf den Clients gespeichert ?
- Ersteller honeypie
- Erstellt am
-eraz-
Commodore
- Registriert
- Juni 2004
- Beiträge
- 4.270
Falsch! Man kann auch ohne Domäne Gruppenrichtlinien für einzelne Clients Konfigurieren. (gpedit.msc) Änderungen an der Lokalen Richtlnie werden in %userprofile%\ntuser.pol gespeichert. Ich vermute das dort auch die Richtlinien des DC Controllers zwischengespeichert werden, aber das kannst du ja einfach mal testen.honeypie schrieb:
Natürlich. Das habe ich ja auch nicht bestritten. Entscheidend ist aber, dass diese nicht individuell gestaltet werden können, sondern immer für alle User, sogar auch für den Admin gelten (wir haben hier im Forum schon darüber diskutiert, mit welchen Tricks man den Admin dann doch wieder herausnehmen kann). AD ermöglicht eine spezifische Richtlinie, die für den User/die Gruppe X gilt, aber für den User/Gruppe Y nicht. Genau das geht auf einem einzelnen NT-System außerhalb einer Domäne eben nicht.
-eraz-
Commodore
- Registriert
- Juni 2004
- Beiträge
- 4.270
Ja richtig, aber eine einfache und schnelle Methode dies zu verhindern wäre z.b. dem System den Zugriff auf die ntuser.pol des Users zu verweigern der nicht betroffen sein soll. Aber das ist ja jetzt nicht das Thema. Hast du jetzt schonmal getestet ob die AD Richtlinien auch in der ntuser.pol gespeichert werden? Wäre gut Möglich das die Einstellungen dort gepeichert werden und der Grund warum es nicht für alle übernommen wird ist ev. das der Client in einer Domäne hängt.honeypie schrieb:
Noch eine andere Frage, warum musst du das eigentlich Wissen?
Werde mal mit einem Protokoll-Programm wie WhatChanged überprüfen, wohin Daten geschrieben werden, wenn das AD neue Richtlinien für den Client festlegt.
Naja, meine Überlegung ist die : Wenn das AD irgendwo Daten reinschreibt, dann ist mir das theoeretisch selbst auch möglich, so dass das bedeuten würde, dass die oben angesprochene individuelle Richtlinienvergabe z.B. auch durch direkte Registry-Mainipulation möglich sein müßte.Auf einem Single-System kann ich ja auch ohne den Umweg über den gpedit-Mechanismus die Richtlinien-Effekte durch direkten Registry-Hack erreichen.
Naja, meine Überlegung ist die : Wenn das AD irgendwo Daten reinschreibt, dann ist mir das theoeretisch selbst auch möglich, so dass das bedeuten würde, dass die oben angesprochene individuelle Richtlinienvergabe z.B. auch durch direkte Registry-Mainipulation möglich sein müßte.Auf einem Single-System kann ich ja auch ohne den Umweg über den gpedit-Mechanismus die Richtlinien-Effekte durch direkten Registry-Hack erreichen.
Ähnliche Themen
